​研究員發現能完全得到 Android 手機控制權的嚴重漏洞

Check Point 的研究員在 Black Hat conference 上展示了一系列出現在智慧型裝置、汽車和滑板的 Android 保安性漏洞。其中名為 Certifi-gate 的漏洞更是在所有 OEM 廠商的裝置中都有出現，它讓第三方程式插件通過 Remote Support 得到存取權限，控制裝置的螢幕和使用 OEM 發出的授權證書。這漏洞可讓惡意駭客可以看到使用者的操作，甚至直接控制智慧型裝置。根據研究員的說法，作為使用者是無法讓授權證書失效。Check Point 提及到 LG、Samsung、HTC 和 ZTE 都有對這 Certifi-gate 漏洞作出修復，減輕影響，而 Google 旗下的 Nexus 裝置則未受波及。

Check Point 的負責發堀行動裝置危險的技術領導人物 Avi Bashan 跟主站透露，此漏洞是源自 Android 的安全結構問題，以及 OEM 們所開發的遙距控制工具讓這漏洞被揭露。Bashan 更提到因為 Android 裝置的更新週期相距太長，這些嚴重的漏洞未必能在短期內被完全修補，所以更是危險。

Samsung 對於 Certifi-gate 漏洞發出了以下的聲明：「三星明白到他們的成功來自消費者的信任，以及所提供產品和服務。我們會密切留意 Check Point 的發現，公司也會認清問題的所在。三星建議使用者不要使用不安全的應用程式。」

Google 發言人對我們表示說，他們感謝研究員發現並報知漏洞的存在，指這漏洞是來自 OEM 們客製化 Android 裝置時所出現的，也認為他們將會提供解決問題的更新。一如三星的聲明，Google 也建議 Android 使用者要從可信的來源取得應用程式（例如 Google Play），因為裝置會被漏洞影響是因為使用者安裝了有問題的應用程式。對此。Google 亦會繼續以 VerifyApps 和 Safety Net 檢查監控的。

對此，Bashan 倒是認為這類有問題的應用程式也可以偽裝為完全無害，並上架至 Google Play，在打開時就會把有關的插件啟動。所以他還是建議由 OEM 儘快提供系統更新，並且不要自行安裝 APK 至手機上。

有興趣深入了解的朋友，Check Point 對於 Cerifi-gate 發表了完整的報告，並有提供免費的應用程式，可以考慮體檢一下自己的裝置。

來源: Check Point

經由: Engadget